Avatar von Matthias Bathke

von

Lesezeit: 6 Minuten

DSGVO Urteil: Google Fonts Einbindung

Viele Unternehmen nutzen symbolische Maßnahmen wie Cookie-Konsens-Banner, um DSGVO-Konformität vorzutäuschen. Jedoch betonen Experten die Notwendigkeit von konkreten Maßnahmen und strengeren Strafen, insbesondere da solche Verstöße Kunden und deren Daten gefährden können.

Jeder Websitebesucher kann abmahnen.

DSGVO-Verstöße als wirtschaftliches Risiko für Unternehmen

Bereits seit geraumer Zeit weisen wir darauf hin, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) erhebliche wirtschaftliche Risiken für Unternehmen bergen können. Die Hauptregelungen sind eindeutig:

Daten dürfen nicht an Dritte weitergegeben werden, es sei denn, es ist absolut notwendig oder es liegt eine explizite Zustimmung des Nutzers vor.

Zu diesen Daten zählt insbesondere die Weitergabe der IP-Adresse eines Webseitenbesuchers, falls die Seite externe Dienste wie Google Fonts verwendet, die diese Daten nicht DSGVO konform anonymisiert.

Das direkte Einbinden von Google Fonts von Google Servern mag zwar bequem sein, aber aus der Perspektive der DSGVO ist dies ein Verstoß, sofern der Nutzer hierüber nicht informiert wird und eine Wahl hat.

Tipp: Unternehmen sollten stets auf dem neuesten Stand der DSGVO-Bestimmungen bleiben und sicherstellen, dass ihre Webpräsenzen konform sind, um mögliche rechtliche Risiken zu minimieren.

Landgericht München Urteilt

Google Fonts Integration nicht DSGVO konform

Das Landgericht München hat kürzlich in einem prägnanten Fall entschieden, der für alle Website-Betreiber von Bedeutung sein sollte. Im Mittelpunkt stand die Nutzung von Google Servern für die Integration von Schriftarten durch die Beklagte, ein Vorgehen, das viele Websites derzeit praktizieren. Kritisch wurde jedoch bemängelt, dass dabei keine Zustimmung über ein Cookie-Konsens-Banner von den Nutzern eingeholt wurde. Als Ergebnis werden die IP-Adresse sowie zahlreiche weitere trackingrelevante Informationen jedes Besuchers direkt an Google weitergeleitet.

Die Konsequenzen für die Beklagte waren ernst: Sie wurde zu einem Schadensersatz von 100 € zuzüglich Zinsen verdonnert und erhielt eine Unterlassungsanordnung. Bei Zuwiderhandlung droht ein Ordnungsgeld von bis zu 250.000 € oder alternativ eine Ordnungshaft von bis zu sechs Monaten. Überdies wurde dem Kläger ein Recht auf Auskunft über die gesammelten und verarbeiteten Daten gewährt.

Doch dies ist nur die Spitze des Eisbergs. Google Fonts sind lediglich ein Beispiel. Viele Websites nutzen Content Delivery Networks (CDNs), um externe Bibliotheken wie jQuery oder Bootstrap zu integrieren. Aus technischer Perspektive ist dies heutzutage allerdings überflüssig.

Jeder Website-Betreiber sollte die neuesten Datenschutz-Entwicklungen und Gerichtsentscheidungen im Auge behalten, um die eigene Webpräsenz rechtlich abzusichern.

DSGVO-Verstöße

Warum höhere Strafen nötig sind

Es enttäuscht, dass die Strafen für DSGVO-Verstöße nicht konsequenter und strenger ausfallen.

Der Großteil der Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) ist nicht nur vermeidbar, sondern auch einfach zu korrigieren. Im aktuellen Fall etwa hätte man die Google Fonts problemlos vom eigenen Server bereitstellen können.

Zweifelsohne scheint ein Schadensersatz von 100 € pro Websitebesucher für die unrechtmäßige Weitergabe der IP-Adresse angemessen. Dennoch: Dieses Problem betrifft jeden Nutzer der Website – nur haben die meisten nicht rechtliche Schritte eingeleitet. Möglicherweise steht uns bald eine Sammelklage bevor, in der ein Verbraucherschutzverband Schadensersatz für Tausende von Nutzern verlangt.

Leider hat sich die DSGVO bisher als zu zurückhaltend erwiesen. Viele Unternehmen setzen lediglich symbolische Maßnahmen wie Cookie-Konsens-Banner ein, die oft nicht einmal richtig funktionieren. Trotz theoretischer Möglichkeiten von Geldbußen bis zu 4% des weltweiten Jahresumsatzes fallen die tatsächlichen Strafen meist gering aus. Selbst eine Strafe von 65.000 € für einen kompromittierten Onlineshop scheint, gemessen an der Sensibilität von Kundendaten, unzureichend.

Unser Tipp: Verlassen Sie sich nicht allein auf Cookie-Banner. Third-Party-Cookies werden immer irrelevanter.